Pour l'autorité des télécoms, les responsabilités que la future Loi de programmation militaire ouvre aux opérateurs méritent nombre de précisions. Le respect du secret des correspondances et de la neutralité du Net posent question, comme la définition des indices que les opérateurs devront détecter pour voir les cyberattaques.
Suite à une requête de notre part, le régulateur des télécoms, l'Arcep, publie enfin son avis sur le projet de Loi de programmation militaire (LPM) 2019-2025.
Le texte introduit une nouvelle collaboration entre les opérateurs télécoms et l'Agence nationale de sécurité des systèmes d'information (ANSSI). Celle-ci pourra par exemple déléguer la détection de cyberattaques à ces entreprises et, si l'une d'elle est susceptible de viser une autorité publique ou un opérateur d'importance vitale (OIV), poser ses propres sondes sur leurs réseaux (voir notre analyse). Les opérateurs eux-mêmes seront en droit d'effectuer des détections similaires, mais avec leurs critères propres.
Depuis l'annonce, Orange a été le seul acteur à nous répondre sur le sujet (voir notre entretien). Le secrétariat d'État au Numérique, l'ANSSI et les autres groupes sont restés désespérément muets sur la question. L'opérateur historique est ravi de cette future collaboration, espérant exploiter les « marqueurs » de l'agence étatique pour les clients d'Orange Cyberdefense.
Dans son avis daté du 30 janvier, l'Arcep estime néanmoins qu'« il conviendrait de se concerter préalablement avec les opérateurs concernés, en particulier sur l’ampleur des demandes de l’ANSSI et les modalités de leur mise en œuvre ». Pourquoi ? Parce que ces nouvelles obligations pourraient avoir des effets sur le fonctionnement des réseaux, la neutralité du Net, le secret des correspondances et la sécurité juridique des opérateurs. Autant de points d'inquiétude pour l'institution.
L'Arcep vigilante sur le secret des correspondances
L'œil du régulateur porte d'abord sur l'article 19 bis de la LPM, qui crée un nouvel article L.34-1-1 dans le Code des postes et des communications électroniques (CPCE). C'est par lui qu'arrive la possibilité pour les opérateurs de scruter leurs réseaux (à leurs frais) pour le compte de l'ANSSI et de ses protégés.
Le projet de loi est flou sur les informations que l'ANSSI et les opérateurs surveilleront. Si Orange nous assure que seules les données techniques de connexion seront exploitées (les métadonnées), l'Arcep s'inquiète d'y voir inclus le contenu des communications, soit la « correspondance privée et consultation de sites internet ». En clair, de briser le secret des correspondances. Il estime nécessaire d'apporter un garde-fou clair, comme à l'article L32-3 du CPCE.
Le régulateur demande aussi de définir précisément la liste des marqueurs à détecter. La version publiée du projet de loi précise bien que l'ANSSI devra les cataloguer, même si ces critères de détection ne seront pas forcément publics. Dans tous les cas, l'Arcep veut s'assurer de « la proportionnalité de la mesure au regard de l’atteinte au respect de la vie privée et à la protection des données ».
Par ailleurs, l'autorité se demande quelle latitude auront les opérateurs pour choisir ces indicateurs de compromission, et quelle garantie il y a qu'ils ne concerneront que « des événements susceptibles d’affecter la sécurité ».
En outre, la conservation des données détectées « pose la question des garanties propres à assurer une conciliation équilibrée entre, d’une part, le droit au respect de la vie privée et, d’autre part, la prévention des atteintes à l’ordre public et la recherche des auteurs d’infractions ». Le système implique une manipulation et une conservation de données potentiellement personnelles, sans les garanties offertes par la loi Renseignement, où le malaxage des informations est surveillé par la Commission nationale de contrôle des techniques de renseignement (CNCTR).
Une collaboration obligatoire pour les opérateurs ?
Le régulateur des télécoms veut aussi clarifier si les opérateurs seront, oui ou non, obligés de détecter les cyberattaques quand l'ANSSI pensera une autorité publique ou un OIV en danger. Si une obligation s'applique à tous, « cela reviendrait de facto à imposer à tous les opérateurs sollicités par l’ANSSI de mettre en place un système de détection ». Surtout, l'atteinte potentielle au secret des correspondances serait généralisée à tous.
Le futur article L. 33-14 du CPCE autorise les groupes télécoms à repérer d'éventuelles attaques vers leurs abonnés, dans l'idée d'au moins les avertir. L'agence de sécurité peut donc fournir ses propres « marqueurs » aux opérateurs pour les intégrer à ces moulins. Or, rien n'est dit sur une éventuelle obligation.
La mise en place d'un tel système de détection, ainsi que l'alerte des utilisateurs concernés sur demande de l'ANSSI, amènerait droit à une juste rémunération des groupes télécoms, pense l'autorité, inspirée par la jurisprudence classique du Conseil constitutionnel. Interrogée sur la question, Orange n'avait pas d'évaluation précise du coût à nous fournir. La société, qui espère tirer un bénéfice commercial pour sa branche cybersécurité, n'aurait pas encore demandé de contrepartie financière à l'État.
Concernant l'article 19 ter, l'Arcep s'interroge sur les données des opérateurs auxquelles l'ANSSI peut avoir accès. Autrement dit, la LPM pourrait demander la conservation et la disponibilité d'informations allant au-delà de ce qu'ils conservent aujourd'hui. S'ils doivent manipuler des informations supplémentaires, il faudra encadrer ces procédures.
De la responsabilité en cas de problème avec les sondes ANSSI
L'article 19 quater insère dans le CPCE (à l'article L. 2321-2-1) la possibilité pour l'ANSSI de poser ses propres sondes au cœur du réseau d'un opérateur, dans le cas où un de ses protégés est susceptible d'être visé par une attaque.
Pour l'Arcep, cette disposition peut avoir « un impact important » sur ces réseaux, selon la configuration des équipements de l'agence de sécurité, leur maintenance, leur compatibilité avec le matériel des groupes télécoms et les mesures de protection des réseaux. Il faut donc préciser la responsabilité de chacun dans cette collaboration.
Ces interventions de l'ANSSI sont soumises à la sagacité de l'Arcep. Elle réclame que les modalités soient bien précisées et des moyens supplémentaires pour traiter « ces sujets extrêmement pointus ». Elle doit, entre autres, s'assurer du respect de la neutralité du Net et évaluer les éventuelles mesures de gestion de trafic que les opérateurs mettraient en place. D'ailleurs, rien n'est précisé dans le texte si l'autorité trouve un problème. Sans doute, ces points seront-ils réglés dans la future ordonnance commandée au gouvernement.
Le régulateur des télécoms est donc circonspect sur les nouvelles possibilités laissées aux groupes télécoms et à l'ANSSI, en matière de détection des cyberattaques. De nombreux détails restent à préciser, y compris la définition des « marqueurs » à repérer et le cadre exact de la collaboration.